割と情報提供を求めるための情報。web屋としては恥ずべき話なんですが、管理しているとあるサイトが何者かに改竄されてしまいました。凹んでます。あんまり詳しく書くワケにも行かないのですが、web上で同様の被害例を見るに、どうやら最近軽く流行りだした手口っぽくて、共通項としてはCakePHPで構築されたサイト或いは同じサーバーにCakePHPで構築されたサイトが入っている所がやられている点が特徴として挙げられます。
そして、FTP経由で正面から正々堂々とログインしてきて機械的にファイルのダウンロード⇒改竄⇒アップロードを行うっぽいです。
具体的には、まずconfi*.phpや*/app/config/database.phpといったコンフィグ系のファイルのアタマに
で始まるちょいと長めのスクリプトが差し込まれます。
次に、*.jsファイルのほぼ全てのオシリに
という、なにやら怪しい実行文が追加されます。
更に、.htmlやら.htmやら.cfmやら、静的なファイルの大半にも、<body>タグ開始直前に
という、上記と同様の呪文が追加されます。手の込んだこって...。
これらが組み合わされて生成されたページを見るとどうなるかというと、知らない間に全然関係の無いサイトに、割と気付かないウチに接続されてウイルスをゲットしてくるという、どうしようもなく陰湿なトラップに掛かってしまう場合があるようです。もっとも、ウイルス防御ソフトでほぼ問題なく防げるようですし、害のサイトは早々に駆逐されたようです。またDBからごっそりデータを持って行かれたような形跡も、今の所無いので幸いにも大きな問題には発展しておりません。
さて、問題は外から弄られただけならまだマシだったのですが、FTPのパスワードを変更しても即、同じように真正面からログインして来やがったんですな、これが。とりあえず人為的な漏洩じゃ無いことは判ったので、シャットアウトしてお帰りいただき、次の可能性を探らねば。...サーバーの中にワームでも仕込まれた可能性が大ですな、これは。死ねばいいのに。
現時点での材料では、CakePHPに脆弱性があるんでは無かろうかと疑ってしまっておるわけですが、この件については引き続き調査し、新しいことが分かり次第お伝えできればと思います。
コメント (3)
アップロードしているクライアントPCがGENOウイルスにかかってるのでは?
クライアントからFTPで接続した後に特定の名前の.php,.jsファイルを書き換えてアップロードしてるはずです。
cmd、regeditが立ち上がらないPCが犯人ですので、
その辺から探ってみてはどうでしょう。
投稿者: 検索からきました。 | 2009年4月15日 11:00
日時: 2009年4月15日 11:00
うおおお!
ありがとうございます!
私の方でも今現在、身内のPCまたはバックアップ用のサーバーに容疑の目線が向いておりまして、これは大ヒントの予感でございますよ!!
早速調べてみます!これで帰れる!?
報告はまた追っていたします。大感謝です!
投稿者: 穂谷屋 | 2009年4月15日 12:21
日時: 2009年4月15日 12:21
えー、携帯から続報なんですが私のPC、見事感染しておりました。
ぎゃあああああああ!
昨日感染した模様です。クリーンインストールしか道がないそうでorz
でも、最初の改ざんがあった土曜の早朝はどこから接続したんだろ?
つづく
投稿者: 穂谷屋 | 2009年4月15日 13:30
日時: 2009年4月15日 13:30